Um sämtliche Sicherheitslücken einer Software identifizieren zu können, müssen für das so genannte Pentesting alle vorhandenen Funktionen aktiviert und zugänglich sein. Wir haben daher eine umfassende Testumgebung mit sämtlichen Funktionen eingerichtet und den Kollegen der Pentesting-Abteilung des AIT zu Verfügung gestellt.

Doch was bedeutet Pentesting eigentlich?

Ein Penetrationstest, kurz Pentest, ist ein empirischer Sicherheitscheck unter definierten Rahmenbedingungen. Dabei werden reale bzw. gängige Mittel und Techniken eingesetzt, die auch von potenziellen Angreifern verwendet werden.Generell erhöht sich die Anzahl der gefundenen Schwachstellen mit dem eingesetzten Aufwand und den verfügbaren Informationen über das zu testende System.

In unserem Projekt werden zuerst maschinelle Tests durchgeführt, um Schwachstellen zu identifizieren. Daraufhin wird der Code der Software von einem auf die Programmiersprache spezialisierten Sicherheitsexperten - einem ethischen Hacker - genauer analysiert. So kann ein umfassendes Urteil über die Sicherheitslage des Systems abgegeben werden.

Der nächste Schritt

In den kommenden Wochen legen wir den Schwerpunkt auf die Benutzerrollen? Können sämtliche Nutzer:innen nur jene Ansichten öffnen und Befehle bedienen, wie im Benutzerrollenkonzept definiert oder gibt es dabei Schwachstellen? Decidim verfügt über zahlreiche unterschiedliche Admin-Rollen, daher ist dieses Thema besonders wichtig.

Das Projektteam ist gespannt auf die Ergebnisse.